我的环境是Ubuntu 14.04,LAMP堆栈全部来自apt。
实施fail2ban并jail.local配置
backend = auto
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 2
我一边跑步tail -f /var/log/auth.log
一边tail -f /var/log/fail2ban.log
等待。
很快,auth.log 就会显示有人试图进入,但无论同一个 IP 尝试多少次,fail2ban 都不会禁止它。
如果我运行,sudo service fail2ban restart那么我会在 fail2ban 日志中收到停止和启动信息消息,然后是它错过的所有检测,如果没有,时间则根据 fail2ban 的设置将要按预期禁止该 IP。
我进行了另一项测试并关闭了 auth.log 的尾部 - 但 fail2ban 似乎并未检测到恶意 IP 地址。